Informationssicherheit in Kommunikationsinfrastrukturen

Transkript

1 4. Mitglieder- und Partnertag Zweckverband Elektronische Verwaltung in Mecklenburg-Vorpommern (ego-mv) Informationssicherheit in Kommunikationsinfrastrukturen Ein Ausblick auf die Anschlussbedingungen des Landesdatennetzes Rostock, 15. Juni 2016

2 Rechtsnormen, untergesetzliche Normen, Standards, IT-Netz-Gesetz egovernment-gesetze BSI-Gesetz ISIS 12 IT-Sicherheitsleitlinie des IT-Planungsrats IT-Sicherheitsgesetz VdS 3473 Anschlussbedingungen an Netze Verfahrensvorschriften (bspw. Waffenrecht) Handreichung Informationssicherheitsleitlinie der Vitako No-Spy-Erlass Grundsatzpapier zum IS-Mgmt. der Rechnungshöfe des Bundes/ Länder Rundschreiben Nr. 2/2016 LRH M-V und was gilt für mich? 2

3 Rechtsnormen, untergesetzliche Normen, Standards, eine Strukturierungsmöglichkeit (1) IT-Netz-Gesetz zum trat 3 IT-NetzG in Kraft: Der Datenaustausch zwischen dem Bund und den Ländern erfolgt über das Verbindungsnetz. egovernment-gesetze BSI-Gesetz Artikel 1 13 EGovG tritt am 1. Januar 2018 in Kraft. regelt u.a. die Meldepflichten auch für kommunale Unternehmen i. S. v. Kritischen Infrastrukturen IT-Sicherheitsleitlinie des IT-Planungsrats Anschlussbedingungen an Netze No-Spy-Erlass wird auch für die Kommunen verpflichtend, wenn sie an Ebenen-übergreifenden Verfahren teilnehmen verpflichtend bei Direktanschluss, beispielsweise Verbindungsnetz: Firewall, IDS/IPS, SIEM keine Verpflichtung, aber politische Brisanz! 3

4 Rechtsnormen, untergesetzliche Normen, Standards, eine Strukturierungsmöglichkeit (2) egovernment-gesetz M-V Verfahrensvorschriften (bspw. Waffenrecht) ISO BSI IT-Grundschutz verpflichtend auch für die Kommunen verpflichtend für alle Verfahrensteilnehmer Standards für die Informationssicherheit; BSI IT-Grundschutz ist der Mindestsicherheitsstandard für die Landesverwaltung (s. IS-Leitlinie M-V) ISIS 12 Handreichung Informationssicherheitsleitlinie der Vitako Grundsatzpapier der Rechnungshöfe Absicherung der Netzinfrastruktur Empfehlung der Vitako, abgestimmt mit den IT-Sicherheitsarbeitsgruppen des IT- Planungsrats und der IMK Ergänzung zu den IT-Mindestanforderungen der Rechnungshöfe, einheitliche Prüfungsgrundlage mit Fragenkatalog 4

5 Strategische Einflussfaktoren auf das Landesdatennetz CN LAVINE auf der Ebene des Bundes Gesetzliche Rahmenbedingungen Die E-Government Gesetze von Bund und Land verpflichten die Behörden stärker zur durchgängigen medienbruchfreien Kommunikation. Damit steigen insgesamt die Anforderungen an den Datenschutz und die Informationssicherheit. Das IT-Netz-Gesetz (IT-NetzG) vom 10. August 2009 bestimmt, dass der Bund zur Verbindung der Netze von Bund und Ländern ein Verbindungsnetz errichtet. Ab dem 1. Januar 2015 erfolgt nach 3 IT-NetzG der Datenaustausch zwischen dem Bund und den Ländern [ausschließlich] über das Verbindungsnetz. Die zugehörigen Anschlussbedingungen werden vom IT-Planungsrat beschlossen. ( 4 Abs. 1 Nr. 4 IT-NetzG) Mit Beschluss des IT-PLR vom 18. März 2015 sind die Anschlussbedingungen für das Verbindungsnetz festgelegt worden und von den Teilnehmern [Länder] bis zum 31. Dezember 2017 auf taktisch, operativer Ebene umzusetzen. 5

6 Strategische Einflussfaktoren auf das Landesdatennetz CN LAVINE auf der Ebene des Landes 13 EGovG M-V Datenübermittlung Die Behörden des Landes, der Gemeinden, Ämter und Landkreise sollen für die elektronische Datenübermittlung in automatisierten Verfahren innerhalb des Landes und mit den Bundesbehörden das Corporate Network Landeskommunikationsvermittlungs- und Informationsnetz (CN LAVINE) nutzen, soweit nicht wichtige Gründe entgegenstehen. Vorgesehene Abweichungen von der Regelung nach Satz 1 sind zu begründen und der für ressortübergreifende IT-Angelegenheiten zuständigen obersten Landesbehörde zur Entscheidung vorzulegen. 6

7 Strategische Einflussfaktoren auf das Landesdatennetz CN LAVINE auf der Ebene des Landes Drucksache 6/4636 Erläuterungen zu 13 EGovG M-V Die Regelung ist als Soll-Vorschrift formuliert. Ausnahmen von der Nutzung.... Soll von der elektronischen Datenübermittlung über das CN-LAVINE abgewichen werden, so ist dies zu begründen und dem für ressortübergreifende IT-Angelegenheiten zuständigen Ressort zur Entscheidung vorzulegen. Derzeit wird diese Aufgabe vom Ministerium für Inneres und Sport wahrgenommen. Das Ministerium für Inneres und Sport wird die Entscheidungskriterien zur Genehmigung von Drittnetzen in geeigneter Weise öffentlich bekanntmachen. 7

8 Anschlussbedingungen für das Verbindungsnetz Umsetzung in der Praxis (1) Netze des Bundes Verbindungsnetz Übergabepunkt Netzkopplung am CN LAVINE Anschlussbedingungen für das Verbindungsnetz; Netze des Bundes Landesdatennetz Bundesland A Landesdatennetz Bundesland B Kommunikationsinfrastruktur Teilnehmer A Kommunikationsinfrastruktur Teilnehmer B 8

9 Anschlussbedingungen für das Verbindungsnetz Umsetzung in der Praxis (2) Die wesentlichen Eckpunkte der Anschlussbedingungen Für das direkt angeschlossene Landesdatennetz hat der Teilnehmer (Land): Sicherheitsgateways an den Netzübergängen mit nachgewiesenen Sicherheitsfunktionen durch entsprechende Zertifizierung einzusetzen, Auswertung von sicherheitsrelevanten Ereignissen (Protokolldaten), insbesondere an den Sicherheitsgateways und Dienste-Servern vorzunehmen, Angriffs- und Einbruchserkennungssysteme (IDS/ IPS) einsetzen, die BSI-Standards bis mit hohem (!) Schutzbedarf umzusetzen, die Teilnehmer in den VerwaltungsCERT-Verbund einzubinden und die Einhaltung der Anschlussbedingungen durch Audits nachzuweisen. 9

10 Anschlussbedingungen für das Verbindungsnetz Umsetzung in der Praxis (3) Erstellung der IT- Sicherheitsleitlinie Prozess zum Aufbau einer sicheren Netzkopplung/ eines sicheren Netzübergangs Erstellung des IT-Sicherheitskonzepts Konzeption des Sicherheitsgateways als Teil des IT-Sicherheitskonzepts Umsetzung des Konzepts für Sicherheitsgateways Umsetzung der Anschlussbedingungen Revision/ Audit Wartung/ Störungsbehebung Quelle: Bundesamt für die Sicherheit in der Informationstechnik 10

11 Anschlussbedingungen für das Verbindungsnetz Umsetzung in der Praxis (4) Netze des Bundes Verbindungsnetz Internet Mgmt.-System Netz Dritter Sicherheitsgateway mit IDS-Sensorik CN LAVINE 11

12 Anschlussbedingungen für das Verbindungsnetz Umsetzung in der Praxis (5) Netze des Bundes Verbindungsnetz Grundarchitektur eines Sicherheitsgateways (Paketfilter ALG Paketfilter) Netzübergang (Netzkopplung) interne Netze Security Router (ISP) äußerer Paketfilter ALG mit Sicherheitsproxys innerer Paketfilter Quelle: Bundesamt für die Sicherheit in der Informationstechnik 12

13 Anschlussbedingungen für das Verbindungsnetz Umsetzung in der Praxis (6) Netzübergang (Netzkopplung) Internet interne Netze DMZ (redundanter) Lastverteiler Security Router (ISP) äußerer Paketfilter ALG 1 mit Sicherheitsproxys innerer Paketfilter 13

14 Anschlussbedingungen für das Verbindungsnetz vs. Landesdatennetz CN LAVINE (1) Anschlussbedingungen für das CN LAVINE (heute) Als Mindestanforderungen an die Sicherheit bei der Nutzung des CN LAVINE gelten die DOI-Nutzungsregeln. Zur Gewährleistung eines durchgängigen Sicherheitsniveaus... dürfen grundsätzlich keine eigenen parallelen Zugänge in öffentliche Netze bzw. Netze Dritter betrieben werden. Ausnahmen sind nur zulässig, wenn... der Übergang in öffentliche Netze bzw. Netze Dritter durch geeignete Maßnahmen gesichert wird. Dabei sind die jeweiligen Maßnahmen nach BSI IT-Grundschutz einzuhalten. Der Teilnehmer hat über die parallelen Zugänge in öffentlich Netze bzw. Netze Dritter ein Verzeichnis zu führen. Der Teilnehmer ist verpflichtet die Sicherheitsmaßnahmen regelmäßig zu auditieren. 14

15 Anschlussbedingungen für das Verbindungsnetz vs. Landesdatennetz CN LAVINE (2) Anschlussbedingungen für das CN LAVINE (Ausblick) Das CN LAVINE ist für normalen Schutzbedarf ausgelegt. Die Anschlussbedingungen des Verbindungsnetzes; Netze des Bundes werden in modifizierter Form in die (neuen) Anschlussbedingungen des CN LAVINE einfließen. Die konzeptionelle Ausgestaltung der Architektur des Sicherheitsgateways soll abhängig von der Kommunikationsinfrastruktur des CN LAVINE Teilnehmers sein, d. h. Unterhält der CN LAVINE Teilnehmer keine Netzübergängen bzw. Netzkopplungen zu öffentlichen Netzen bzw. Netze Dritte ist ein einfaches Sicherheitsgateway plus IT-Sicherheitskonzept ausreichend. Sofern der Teilnehmer Netzübergänge bzw. Netzkopplungen einrichtet, sind ergänzende, weitere Sicherheitsmaßnahmen zu treffen. (s. nachfolgendes Bsp.) 15

16 Anschlussbedingungen für das Verbindungsnetz vs. Landesdatennetz CN LAVINE (3) CN LAVINE Netz Dritter Netzübergang Netzübergang (Netzkopplung) Anschlussrouter CN LAVINE äußerer Paketfilter ALG mit Sicherheitsproxys innerer Paketfilter lokale Kommunikationsinfrastruktur des CN LAVINE Teilnehmers 16

17 Gerne beantworte ich Ihre Fragen 17

18 Ich danke für Ihre Aufmerksamkeit! Steffen Tambach Referat Ressortübergreifendes Informationssicherheitsmanagement Arsenal am Pfaffenteich Alexandrinenstraße Schwerin Telefon Telefax steffen.tambach@im.mv-regierung.de Web 18